ISKE rakendamise auditite läbiviimise kohustus on reguleeritud Vabariigi Valitsuse 20.detsembri 2007.a määruses nr 252 Infosüsteemide turvameetmete süsteem (nn ISKE määrus). ISKE määruses on määratud
Audititeerimise sagedus
1. Andmekogu vastutav töötleja, kelle andmekogu turbeaste on H, peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kahe aasta järel.
2. Andmekogu vastutav töötleja, kelle andmekogu turbeaste on M, peab turvameetmete süsteemi rakendamise kohta läbi viima sõltumatu auditi iga kolme aasta järel.
3. Andmekogu vastutav töötleja, kelle andmekogu turbeaste on L, peab turvameetmete süsteemi reakendamise kohta läbi viima sõltumatu auditi iga nelja aasta järel.
Nõuded audiitorile
Audiitor peab omama auditi läbiviimise ajal kehtivat Rahvusvahelist Infosüsteemide Auditi ja Juhtimise Assotsiatsiooni (Information Systems Audit and Control Association) väljaantud infosüsteemide sertifitseeritud audiitori (Certified Information Systems Auditor, CISA) sertifikaati, ISO 27001 sertifikaadi omanikku, kes on leitav International Register of Certificated Auditors veebilehel olevast registrist http://www.irca.org/home.html või Saksa Infoturbeagentuuri (Bundesamt für Sicherheit in der Informationstechnik) väljaantud ISO 27001 IT Grundschutzi baasil sertifitseeritud audiitori sertifikaati.
Esmased auditeerimise tähtajad
1. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse H, on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2010. a.
2. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse M, on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. detsembriks 2010. a.
3. Andmekogu vastutav töötleja, kelle andmekogu kuulub turbeastmesse L, on kohustatud esmakordse turvameetmete süsteemi rakendamise auditeerimise läbi viima hiljemalt 1. märtsiks 2011. a.
